본문 바로가기

벌새::Analysis

ehantk 바로가기 아이콘을 이용한 악성코드 유포 주의 (2013.6.29)

반응형

최근 11번가 바로가기 아이콘을 생성하면서 사용자 몰래 온라인 게임 정보 유출 목적으로 제작된 악성코드를 추가하는 사례를 소개한 적이 있었습니다.

 

  11번가 바로가기 아이콘 프로그램에 추가된 정보 유출 악성코드 주의 (2013.6.24)

 

그런데 주말을 이용하여 다른 유포 경로를 통해 유사한 방식으로 Win-Trojan/Urelas (= Trojan/Win32.Depok, Trojan/Win32.PbBot) 계열 악성코드를 감염시키는 방식을 추가로 확인하였습니다.

배포 방식을 살펴보면 다양한 제휴(스폰서) 프로그램 배포를 목적으로 제작된 "Xecure speller Application" 프로그램이 설치된 환경에서 시스템 시작 후 일정 시간이 경과하면 "스펠러(잠김복사) 업데이트" 창을 생성합니다.

 

참고로 Xecure speller Application 프로그램의 설치 파일(MD5 : 8073140e06be304c2e3068afe806e22f)에 대하여 AhnLab V3 보안 제품에서는 PUP/Win32.Speller (VT : 22/46) 진단명으로 진단되고 있습니다.

 

화면상에서는 "speller 메인 프로그램"의 체크 박스는 해제된 상태로 표시되지만, 스크롤바를 내리면 다수의 수익성 프로그램들이 체크된 상태임을 알 수 있습니다.

 

이를 통해 사용자의 부주의한 실수를 유발하여 자동으로 설치되는 과정에서 "ehantk" 프로그램이 문제의 악성코드를 유포하는데 사용되고 있습니다.

  • h**p://www.ehantk.com/download/***/setup001.exe (MD5 : 8e2a1908e6c84c3cf9459a77cb66314f) - Kaspersky : HEUR:Trojan-Downloader.Win32.Generic (VT : 6/47)

ehantk 프로그램의 설치 파일은 서버로부터 다운로드되어 "C:\Program Files\Speller\temp\setup001.exe" 파일로 생성 및 실행되어 바탕 화면 바로가기 아이콘 생성 및 추가적인 파일 다운로드를 시도한 후 자가 삭제 처리됩니다.

 

[생성 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\바탕 화면\Auction.lnk
C:\Documents and Settings\(사용자 계정)\바탕 화면\gmarket.lnk
C:\WINDOWS\Auction.ico
C:\WINDOWS\gmarket.ico

  • "C:\Program Files\Internet Explorer\iexplore.exe" h**p://c.**-ad.kr/?c=dXhlVGFCUDhKMSswL1NRWDJQTHRmVWVtUFRpMzk3RWxsVkZ5RmFlQkpRVGFYZ2NK
    &turl=
  • "C:\Program Files\Internet Explorer\iexplore.exe" h**p://c.**-ad.kr/?c=QTFLTGZxOTEvSjBhSkI1NjJQTHRmVWVtUFRpMzk3RWxEMUkwSktyOG9GN2ladUNV
    &turl=

설치가 진행되면 바탕 화면에 옥션, G마켓 바로가기 아이콘을 생성하며, 해당 바로가기 아이콘은 특정 광고 업체의 제휴 코드가 추가된 것으로 보아 수익 목적으로 포함한 것으로 보입니다.

  • h**p://www.ehantk.com/cupdate.exe (MD5 : 57149a9d1d8742387d3abd64d5c1db4d) - Avira : TR/Dropper.Gen (VT : 3/47)

이렇게 설치되는 과정에서 추가적으로 cupdate.exe 파일을 다운로드하여 "C:\WINDOWS\GSetup16.exe" 파일을 생성하는 동작을 확인할 수 있습니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
 - GSetup16 = C:\WINDOWS\GSetup16.exe

생성된 파일은 Windows 시작시 자동 실행되도록 시작 프로그램 레지스트리 값에 등록이 이루어집니다.

  • h**p://www.ehantk.com/CSetup.exe (MD5 : 7283d1cdcd07f1a4be00baa364aaf314) - AhnLab V3 : Trojan/Win32.Depok (VT : 16/45)

시스템 재부팅 과정에서 시작 프로그램으로 등록된 GSetup16.exe 파일은 서버로부터 레지스트리 편집기(regedit.exe)와 동일한 아이콘 모양으로 등록된 악성 파일을 다운로드하여 "C:\WINDOWS\CSetup.exe" 파일로 생성 및 실행된 후 자가 삭제 처리됩니다.

실행된 파일은 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\algs_BPBP.tgs" 파일(MD5 : 7283d1cdcd07f1a4be00baa364aaf314)로 복제 및 메모리에 상주하며(※ algs.exe 악성 파일은 "C:\Windows\System32\alg.exe" 시스템 파일명과 혼동을 유발할 수 있습니다.), 해당 파일은 시스템(S), 숨김(H) 속성값으로 등록되어 Windows 탐색기 기본값으로는 표시되지 않습니다.

그러므로 숨겨진 파일을 확인하기 위해서는 폴더 옵션에서 "보호된 운영 체제 파일 숨기기(권장)" 체크 해제와 "숨김 파일 및 폴더 표시" 항목에 체크를 해야 합니다.

 

이렇게 생성된 algs_BPBP.tgs 파일은 국내 온라인 게임(baduki.exe, RealBaduki.exe, highlow2.exe, LASPOKER.exe, poker7.exe, Baduki.exe, HOOLA3.EXE, DuelPoker.exe, FNF.exe)을 모니터링하여 데이터를 공격자에게 전송하며 추가적인 다운로드 및 명령을 수행할 수 있습니다.

특히 감염된 시스템에서는 시스템 부팅시마다 시작 프로그램으로 등록된 "C:\WINDOWS\GSetup16.exe" 파일을 통해 서버로부터 파일 다운로드를 통해 반복적으로 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\(Random)_BPBP.tgs" 패턴으로 파일을 생성합니다.

  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\syslog_BPBP.tgs
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\userlog_BPBP.tgs
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\winlog_BPBP.tgs
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\svchost_BPBP.tgs
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\svcsg_BPBP.tgs
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\smse_BPBP.tgs
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\service_BPBP.tgs
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\lssas_BPBP.tgs
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\comine_BPBP.tgs
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\explorer_BPBP.tgs
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\spoolvs_BPBP.tgs
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\ctfmom_BPBP.tgs
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\taskmgr_BPBP.tgs
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\algs_BPBP.tgs
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\system_BPBP.tgs

참고로 랜덤(Random)하게 생성 가능한 파일명을 살펴보면 정상적인 시스템 관련 파일과 이름을 유사하게 등록하여 사용자 눈을 속이고 있습니다.

예를 들어 Windows 작업 관리자(C:\Windows\System32\taskmgr.exe)를 실행하여 프로세스를 확인해보면 정상적인 taskmgr.exe 프로세스와 악성 파일(taskmgr.exe)과 동일한 이름을 사용하여 사용자에게 혼동을 유발합니다.

 

그러므로 Process Explorer 툴과 같은 전문 프로그램을 이용하여 프로세스에 대한 세부적인 정보를 확인하여 파일 위치까지 확인하시기 바랍니다.

 

해당 사이버 범죄자는 지속적으로 인터넷 쇼핑몰 바로가기 아이콘 프로그램을 통해 사용자 몰래 추가적인 시스템 감염을 유발하고 있으며, 보안 제품의 진단에 따라 추가로 다운로드되는 파일을 변경하여 진단을 우회할 수 있으므로 주의하시기 바랍니다.

728x90
반응형